[NAS] 请教一下 NAS 的网络安全

最近入手了极空间 Z4 Pro ，计划自建一些简单的云服务自己使用，初衷是想把数据留在自己手上，不想在各个平台之间转。唯一就是有点担心网络安全问题，所以想请教一下：
1. 使用 Docker 的话就要对外暴露端口，这个安全性是不是会比不使用 Docker 低很多？我现在使用 DDNSTO 来做内网穿透，这种方式是不是因为只暴露特定的端口，在一定程度上能提高一点安全性？
2. 我想用 CouchDB 来实现 Obsidian 同步，但是 CouchDB 的管理端口和服务端口不能分开，是不是应该用 nginx 来做一个反向代理来禁止外网管理 CouchDB ？
3. 使用极空间自身例如相册、文件同步之类的服务安全性是不是会高很多？
4. 使用 Docker 的话，是不是一般来说最坏的情况只是容器被入侵，导致被映射到容器中的目录被访问或破坏，NAS 系统本身还是安全的？
5. 有没有一些 NAS 安全性的最佳实践？